other
マリンロード

2017.10.3その他 

マリンロード

IE:アドレスバーに入力した内容が盗み取られる脆弱性が発見される!

こんにちわ!または、こんばんわ!
フロントエンドエンジニアの姿です。

つい先日ですが、IE(Internet Explorer)の脆弱性が発見されました。

どんな脆弱性かというと、
『アドレスバーに入力した内容が盗み取られる』というものです!

ん?アドレスバーに入力した内容って、URL?って人も居るかもしれないので、少しだけ説明をします。

IEに限らず、現在世の中でよく使用されているブラウザの多くは、
アドレスバーの所に文字を打ち込んでエンターを押下すると、自動で打ち込んだ文字列を使って検索サイトで検索をしてくれます。
わざわざ最初に検索サイトに行く必要が無くなるため、とても便利な機能です。

私は、ネットを閲覧する際は、
アドレスバーで検索 → 目的のページを閲覧 アドレスバーで検索 → 目的のページを閲覧 …
といった使い方をします。

もし、上記サイクル中のどこかの「目的のページ」が、今回の脆弱性を突くサイトであった場合、
自分が検索サイトで何を検索したかが分かってしまうのです!
どこの誰かも分からない攻撃者に、自分の検索ワードが知られるというのは、すごく嫌な気分ですね。
検索ワード「鼻毛 + 抜き方」とか、ちょい恥ずかしいワードを入れていた場合も筒抜けですよ!

ちなみに、この脆弱性ですが、以下のサイトで実際に体験することが出来ます。
アクセスする場合は、IEで。

https://www.cracking.com.ar/demos/ieaddressbarguess/

私がやってみた時の様子を貼りますね。

アドレスバーに「hogehoge」と入力してエンター。

なぜか検索サイトではなく、別の画面が表示!
ここに入力した「hogehoge」が書いてある!

この脆弱性ですが、古いバージョンのIEではなく、最新のIE11で発生します。
未だIEを使用してネットしているユーザーも多いため、セキュリティ更新プログラムが配布されると良いのですが、、、

ちなみに、Windows10ではデフォルトブラウザとなっているEdgeは、大丈夫な様です。
(先述の脆弱性を体験できるサイトにEdgeでアクセスして試してみましたが、IEのような有様にはなりませんでした。)

参考サイト:
http://gigazine.net/news/20170928-internet-explorer-bug/

ページTOPへ